弊社が取得支援をしている主な認証、ISMSとプライバシーマーク(Pマーク)について。
どちらも情報を保護するためのマネジメントシステムですが、何がどう違うの?と思われる方も多いかと思います。
今回はISMSとPマークの違いについて、解説してみたいと思います。
弊社サイトでも簡単に触れていますが、表にすると以下のような違いがあります。
ISMS | Pマーク | |
規格 | 国際標準規格 ISO/IEC27001:2013 日本産業規格 JISQ27001:2014 |
日本産業規格 JISQ15001:2017 |
対象 | 適用範囲内の全ての情報資産全般 事業所単位、部門単位、事業単位の取得も可 |
企業内のすべての個人情報 企業全体 |
要求 | 情報の機密性・完全性・可用性の維持 | 適切な個人情報の取り扱い |
更新 | 3年ごと、及び毎年の継続審査 | 2年ごと |
セキュリティ対策 | 114項目の詳細管理策 | 合理的な安全対策 |
(参考:プライバシーマークとISMSとの違い)
概ねこの5つの違いを把握しておけばよいかと思います。
では5つを順を追って説明してみましょう。
1.規格の違い
ISMSは国際標準規格ISO27001を対象規格としており、これを翻訳したものが日本産業規格JISQ27001になります。逆にPマークはJISQ15001のみ。
このことからわかるように、Pマークは日本国内でしか適用されません。
2.対象の違い
大きく分けて2つの部分での差があります。
対象とする情報資産の違い
上記表に記載の通り、
ISMS:適用範囲の個人情報を含めた情報資産すべてを保護する。
Pマーク:企業全体の個人情報を保護する。
ISMSの方がより大きな範囲を保護対象としているのがわかるでしょうか。
例えば財務情報という情報資産の場合、ISMSは対象となりますが、Pマークは対象となりません。
履歴書の場合はどうでしょう、ISMSでもPマークでも対象となります。
取得可能範囲の違い
取得可能範囲とは何か、というと、特定の限定した範囲で認証を取得することができるか否か、となります。
例えば、役務をメインとしたシステム開発企業(受託開発なし)で、システム開発部門は一切の情報資産を保持しておらず、総務部・経理部がそれぞれ社員の情報や契約情報を保有している場合、
ISMS:適用範囲を総務部、経理部の2部署のみに限定して、ISMSを取得することが可能。(システム開発部に属する従業者はISMSの対象外となります)
Pマーク:適用範囲は企業全体となるため、情報を保有しないシステム開発部も対象範囲となる。
ということになります。
注意すべきは、部署を限定して取得したISMSは、対象外とした部署で利用することはできません。
上記の例でいえば、経理部員の名刺にISMSマークは印刷できても、システム開発部員の名刺にはISMSマークは印刷できない、というとわかりやすいでしょうか。
3.要求の違い
パッと見ると、いずれも適切な取り扱いを要求しているように見えますね。
でも、少しだけ違います。
ISMSが要求していることは、「2.対象」で示した情報資産を保護するための「仕組み」や「体制」づくりを要求しています。
ですので、決まった手順がなく、企業に合わせたルールや文書を作成することができます。
Pマークの場合は、保有する個人情報を保護することを要求しています。そのための手順や作成する文書などは規格が定めており、枠組みから外れた場合は取得することができません。
4.更新の違い
認証を取得すると、必ず更新審査があります。
ISMSの更新審査は3年に1度ですが、この他に維持審査と呼ばれるものが毎年あります。
維持審査であれ更新審査であれ、指摘事項があれば都度対応する必要がありますので、審査頻度としてはさほど違いはないでしょう。
5.セキュリティ対策の違い
ISMSでは、マネジメントシステムを構築する上で、114の具体的な管理策を提示しています。
ISMSは、組織の規模、保有する情報資産、費用対効果などを考慮して管理策を選択することができます。
どの管理策を適用するのか、より企業の実態に沿ったマネジメントシステムを構築することができます。
具体的な内容は、当ブログで連載している「ISMS規格をわかりやすく解読する」をご参照ください。
ではPマークはどうでしょう。
合理的な安全対策とは、企業の状況に沿った情報セキュリティ対策を講じることですが、そのための手順は決まっています。
例えば個人情報を取得する際には必ず同意書が必要ですし、その同意書には利用目的を記載する必要があります。
選択可能なISMSと、すべきことを定め、それに沿って保護するPマークの大きな違いが出ている部分でもあります。
と、駆け足で説明してみましたが、お分かりいただけたでしょうか?
では、どちらを取得すればいいのか?という疑問がわいてくるかもしれませんが、一概に「こちらが良い」とは言えません。
国外企業との取引のある場合や、海外拠点を保持する企業の場合はISMSの方が良いかもしれませんし、個人情報を多く保有している企業はPマークの方が適している場合もあります。
企業の中で取り扱っている情報はどのようなものか。また今後どう事業展開していきたいのかなどを踏まえて、考えるとよいでしょう。